Brakeman - это инструмент анализа статического кода с открытым исходным кодом для проверки Ruby на Rails приложениях на наличие уязвимостей безопасности.

Brakeman Бесплатное программное обеспечение для безопасности

Статический анализ на основе Ruby Сканер уязвимости безопасности

Brakeman - это бесплатный анализ кода и сканер уязвимости безопасности для приложений Ruby on Rails. Он находит проблемы в коде, прежде чем они станут эксплуатационными.

Обзор

Brakeman - это инструмент анализа статического кода с открытым исходным кодом для проверки Ruby на Rails приложениях на наличие уязвимостей безопасности. Он поступает в качестве проекта с открытым исходным кодом с дополнительной коммерческой поддержкой для обнаружения уязвимости в приложениях Rails. Сканирование инструментов статического анализа тормоза для известных небезопасных шаблонов и конфигураций в вашем исходном коде до того, как код достигнет производства. Это самый полный сканер безопасности, который предоставляет простые в чтении отчет об оценке уязвимости, и отчеты могут быть получены при создании или развертывании приложения в песочницу или производственную среду. Тупенман также может быть использован для Синатры и любого другого вида применения в стойке для поиска проблем безопасности. Инструмент безопасности статического анализа статического кода торможения разделяет проблемы на разных, средних и слабых уровнях. Он сканирует все файлы в исходном коде приложения, чтобы найти потенциальные уязвимости безопасности на любом этапе разработки. Каждый раз, когда новые изменения кода привязаны к репозиторию кода, сканер исходного кода Brakeman работает для проверки уязвимостей безопасности, выполняя статический анализ кода. Этот инструмент поймает много известных уязвимостей, таких как инъекция SQL, инъекция команды, кросс -сценарии и многое другое. Brakeman - это инструмент анализа исходного кода с открытым исходным кодом со звездами Github 6.1K и 652 вилками GitHub.

Системные Требования

Следующие ключевые пакеты зависимостей необходимы для установки программного обеспечения для статического анализа тормоза:

  • Ruby: 2.3.0
  • Rails: 2.3.x или выше
  • Бундлер
  • Рубимин редактор
  • Git

Функции

Некоторые из замечательных особенностей инструмента анализа статического кода торможения перечислены ниже:

  • Интерфейс командной строки
  • Быстрое сканирование исходного кода
  • Требуется нулевая конфигурация
  • Сканирование безопасности в любой момент
  • Анализ потока данных Rails
  • Обнаруживает более 20 типов уязвимостей
  • JSON сообщает
  • Ложно позитивное управление
  • Открытый источник

Монтаж

Установите торможения на Ubuntu

Сканер исходного кода торможения прост и легко начать программное обеспечение. Инструмент сканирования исходного кода Brakeman может быть установлен в виде рубинового драгоценного камня или через Docker. Запустите следующее, используя Rubygems в каталоге проектов:

    gem install brakeman

Если вы хотите установить с помощью Bundler, добавьте следующее в свой Gemfile или Gems.rb:

    gem "brakeman"

Затем запустите бундлер для установки драгоценных камней:

    bundle install

Запустите программное обеспечение для статического анализа Brakeman от корня вашего приложения Ruby on Rails:

    cd path/to/your/app
    brakeman 

Чтобы получить последнюю сборку анализа статического кода тормоза с использованием Docker Run ниже:

    docker pull presidentbeef/brakeman

Теперь запустите Brakeman Static Analysis Безопасность от корня вашего приложения Ruby on Rails:

    cd path/to/your/app
    docker run -v "$(pwd)":/code brakeman --color

Для строительства из источника вам понадобятся git, ruby ​​и rubygems.

    git clone https://github.com/presidentbeef/brakeman.git
    cd brakeman
    gem build brakeman.gemspec
    gem install brakeman-*.gem

Есть некоторые проверки сканирования, которые не выполняются по умолчанию. Запустите ниже, чтобы запустить все чеки:

    brakeman -A

Сканирование с открытым исходным кодом торможения запускается в качестве инструмента командной строки, и ему нужен корневый каталог приложения Ruby on Rails, чтобы начать работу и сканировать исходный код на наличие уязвимостей. Как только анализ статического кода торможения запускается и выпускает отчеты, пришло время начать решать зарегистрированные проблемы. После решения проблемы снова запустите торможения. Поздравляю! Теперь вы настроили инструмент статического анализа инструмента Brakeman. Наслаждаться!

FAQS

Для чего используется безопасность тормоза?

Brakeman-это статический анализ, нулевое программное обеспечение для сканера и уязвимого сканера для приложений Ruby on Rails. Это быстрый, простой в использовании и автоматический инструмент анализа статического кода. Он статически анализирует исходный код приложений Rails и предоставляет информационный отчет о потенциальных уязвимости безопасности.

Блакмен бесплатный?

Brakeman-это бесплатный в использовании и загрузку для некоммерческого использования.

Является ли Brakeman Open Source?

Brakeman - это инструмент анализа безопасности с открытым исходным кодом и инструмент анализа исходного кода для приложений Ruby on Rails. Репозиторий исходного кода Brakeman доступен по адресу GitHub.

на каком языке написан тормозь?

Инструмент анализа кода тормоза написан на языке программирования Ruby.

Что такое Brakeman vs Snyk?

Brakeman напрямую сканирует на наличие уязвимостей безопасности, известных небезопасных шаблонов и конфигураций в вашем исходном коде при нанесении, аналогично программному обеспечению Bundler-Audit. Анализ команд Brakeman будет работать и вывести результаты в вашем проекте Rails. В то время как инструмент сканирования уязвимости SNYK автоматически обнаруживает и исправляет уязвимости в коде вашего приложения, контейнерах, Kubernetes, Terraform, Node и NPM -зависимостях.

Исследовать

В этой статье мы обсуждали инструмент анализа статического кода Brakeman с открытым исходным кодом. Чтобы узнать о других инструментах сканирования безопасности с открытым исходным кодом, посетите следующую страницу:

Инструмент сканирования уязвимости Snyk

Структура тестирования на проникновение метасплота

Структура сканирования уязвимости говядины и тестирования проникновения

Что инструмент WhatWeb для обнаружения уязвимостей безопасности

 Русский